Lookout: Nur knapp 5 Prozent aller getesteten Android-Geräte von Heartbleed betroffen
Lookout, Anbieter einer mobilen Sicherheitslösung, hatte vor einigen Tagen eine App in den Google Play Store eingestellt, die die Eigenprüfung des Smartphones auf die OpenSSL-Lücke Heartbleed ermöglicht. Heute stellte der Anbieter die bisherigen Ergebnisse zur Verfügung.
Binnen fünf Tagen wurde die Anwendung über 363.000 Mal heruntergeladen, wie man seitens Lokout mitteilt. Nutzer können freiwillig ihre Daten mit Lookout teilen und so an einer weltweiten, anonymen, statistischen Erhebung teilnehmen.
95,18% aller getesteten Android-Smartphones und Tablets sind demnach nicht von Heartbleed betroffen. Das hat die Analyse von mittlerweile über 102.000 Datensätzen, die durch den Heartbleed Detector erhobenen wurden, hervorgebracht. In Deutschland sind 8,56% aller getesteten Geräte betroffen. Großbritannien nimmt mit 7,05% den zweiten Platz ein. Deutlich weniger sind es in Frankreich mit 3,79%, gefolgt von den Vereinigten Staaten mit 3,03%.
Eigentlich ist bekannt, dass nur Android 4.1.1 betroffen sein soll – doch es betrifft auch neuere Versionen, wie die Zahlen zeigen. 5,48% aller ausgewerteten Smartphones und Tablets mit Android 4.2.2 setzen auf eine veraltete Version von OpenSSL. Hierbei hat es sich aber herausgestellt, dass Nutzer von Custom ROMs betroffen sind, da hier anscheinend bei einigen ROMs die Sicherheitslücke weiterhin besteht. Im Vergleich zu Android 4.1.1 ist die Zahl aber gering, hier liegt die Verbreitung von Heartbleed bei 85,55%.
[appbox googleplay com.lookout.heartbleeddetector]
Was heißt hier überhaupt betroffen? Wo wird denn auf einem Smartphone openssl als server eingesetzt? Die Client-Seite betrifft dieser Bug doch gar nicht…
Schlechte Nachrichten für MIUI Fans. Version 5 baut zumindest laut App auf Android 4.1.1 auf und ist betroffen (Xiaomi Mi2s)
@Peter: Ein böswilliger Server kann die Verbindung mittels SSL-Heartbeat einer durch OpenSSL-gesicherten Verbindung genau „andersherum“ ausnutzen.
@Peter
libssl wird aber bestimmt dabei sein und die sollte wohl auch betroffen sein
@Nino:
Und dadurch kann er dann Daten anderer SSL Verbindungen auslesen? Kann der Server auch einen Heartbeat schicken? Ich dachte immer der Client sendet und der Server antwortet dann mit den gleichen Daten…
@Peter: Der Heartbeat funktioniert bidirektional. Heartbleed funktioniert ja so, dass die anfragende Seite sagt „Ich sende Dir nun massig (Bsp: 64K) Bytes, um die Kommunikation am Leben zu erhalten – schick mir die bitte zurück.“ und sendet in Wirklichkeit sehr wenig (Bsp: 1) Byte(s). Die Gegenseite vertraut der übermittelten Anzahl der zu empfangenden Bytes, ohne zu prüfen, ob auch wirklich soviel Bytes empfangen wurden und tatsächlich so im Speicher stehn. Natürlich ist das dann nicht der Fall, und es werden 64K-1 Bytes aus dem OpenSSL-zugewiesenen Speicherbereich zurückgeschickt – was eben so da drin steht. Dadurch, dass das den Keep-alive-Zweck verfolgt, kann die eine Seite das bel. oft wiederholen. Solange, bis sie eben auch mal Private keys und andere interessante Sachen übertragen bekommt.
@Peter: In dem Fall liest der Server eben Speicher vom Client aus. Dann kommts nur noch darauf an, wie der Client das „unterstützt“ oder wie gut er abgesichert ist (Prozess-Trennung, Sandboxing, etc.). Eine generelle Aussage ist da nicht möglich – so wie andersrum ja auch nicht.
Also ich bin einglück nicht betroffen doch ich würd gern mal wissen was genau passiert wenn mein Handy betroffen ist?!
Kann ichs dann inne Tonne schmeißen oder wie?
Bin betroffen, HTC One S, (aktuellste Version ist eben 4.1.1, keine Updates verfügbar). Ich hoffe, dass es ein Update gibt, aber von der HTCschen Updatepolitik bin ich doch ziemlich ernüchtert. 🙁
So viele? Ich hab kein einziges Gerät gefunden, für das 4.1.1 die aktuelle Version darstellt. Entweder es gab gleich 4.1.2, oder zumindest später ein Update darauf oder sogar noch weiter…
Achja, zu den (extrem wenigen) Geräten, die mit 4.1.1 ausgeliefert wurden, gehört mit dem Galaxy Note II ausgerechnet ein im Business-Bereich weit verbreitetes Gerät.
@markus und @Nino
Die Frage ist ja wie es vom Protokoll geregelt ist, also ob sowohl Client als auch Server einen Heartbeat senden können. Wenn der Server auch kann, ist der Client natürlich betroffen…
Naja mein Android ist zum Glück Safe..
Hab ein gerootetes Nexus 5 mit original Rom 4.4.2 und bekomme die Meldung „……your device is affected“……But the valunerable behavior is not enabled……Everything is OK.
So vertrauenswürdig finde ich dieses OK aber dann nicht wirklich…..